全新后门文件Nev-3.exe分析

最新推荐文章于 2024-10-14 18:34:49 发布
原创 最新推荐文章于 2024-10-14 18:34:49 发布 · 857 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#面试 #职场和发展 #java

本文详述了Nev-3.exe可执行文件的分析过程,揭示其下载远程文件、执行隐藏进程AntiAdwa.exe以及与C2服务器194.146.84.2:4395和193.84.248.67的通信行为。分析包括静态分析、wireshark抓包以及进程跟踪,确定其潜在的远程控制和数据收集功能。

一、 样本发现:

蜜罐

二、 内容简介:

通过公司的蜜罐告警发现一个Nev-3.exe可执行文件文件,对该样本文件进行分析发现,该可执行程序执行后会从远程服务器http://194.146.84.2:4395/下载一个名为“3”的压缩包,解压后也是Nev-3.exe文件,文件下载地址194.146.84.2在微步威胁情报社区查询后,发现发现两个通信样本Nev-3.exe、记录表d3.rar,经过分析两个样本行为人特征一致。样本运行后释放到目录“C:\Users\Public\Music\”
下,随后执行目录中的恶意文件 AntiAdwa.exe,AntiAdwa运行后会向服务端发送保活连接,等待服务端下发指令,从而实现远程控制行为。

三、 分析研判

3.1 样本获取

蜜罐下载样本文件Nev-3.exe,文件hash值如下:

md5: de1cde20941be48bcf6c2b6b663393a2

sha1: 0a8b22faee05998b05169e0e6190108c6d72021d

sha256: 1142e91de910f5cc3c6bda635b990d6c28142b1818fd21ccb1257b77b75338f8

1651713743_627326cfe6c6b9da896e7.png!small?1651713756034

图1 样本示例

该样本在微步在线情报IOC已被标记为恶意软件(高危)。

1651713779_627326f3a8bdc333de0ef.png!small?1651713791827

图2 样本威胁情报IOC查询

3.2 样本分析

(1)静态分析

使用IDA
打开进行分析后发现Nev-3.exe是一个加载程序,文件运行后会产生一个无运行界面的掩藏程序,该进程的主要作用是判断进程中是否存在AntiAdwa.exe进程。

1651713806_6273270e2d75f866288e9.png!small?1651713818223

图3 样本程序入口函数

1651713822_6273271ecae821c535e02.png!small?1651713834896

图4 程序自动检测是否存在AntiAdwa.exe进程

如果不存在存在AntiAdwa.exe进程,则从远程文件服务器:194.146.84.2:4395下载文件。

1651713836_6273272ca23f748ec4d8a.png!small?1651713848781

图5 样本内置远程C2地址194.146.84.2:4395

(2)使用wireshark抓包分析。

将Nev-3.exe程序在本地运行后,使用wireshark进行抓包可看见有大量的可疑tcp连接。

最低0.47元/天 解锁文章
白帽Allen
关注
内核级病毒与木马攻防:windows可执行文件结构解析及常用工具
tyler_download的专栏
07-27 1127
大多数人使用windows系统,相必对其.exe结尾的文件印象深刻,执行任何程序时,你双击该文件即可,这个文件就是系统的可执行文件,我们需要了解其组成结构才能对其进行侵入,劫持或注入恶意代码。 .exe文件也叫PE文件,它由一系列段头段来组成。它一开始是一系列段头数据结构,用于描述各个段的相关性质,接下来就是包含代码数据的各种段。有几个段特别值得注意,.text段包含CPU可以执行的指令,其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息,这个段是唯一包含可执行代码的段。.rdata包含引入
msf后门流量分析
2301_76227305的博客
04-15 2762
以上就是msf后门流量的特征啦最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
exe文件检查工具(ExEinfo PE)0.0.3.2 中文绿色完美版
08-04
以前用过个工具对软件进行破解,因为时间关系,一直没有上传到网站上来,今天因为工作的关系,又找出这个exe文件检查工具(ExEinfo PE),找得好辛苦啊,所以马上先放到网上,方便自己又方便朋友们。   ExEinfo PE 是一款免费的Win32可执行程序检查器,它可以检查程序的打包方式,exe保护等,可以帮助开发人员对程序进行破解,我们通常又称为查壳工具。   用这个工具查看软件有没有加壳,或是用什么工具进行加壳的,方便我们使用相关的脱壳工具对软件进行脱壳。 使用方法:   1、下载解压软件后进行运行   2、将需要查壳的exe或是dll文件拖到软件里面,当然也可以使用浏览的形式,不过里好像有点小bug,一开始好慢,好像点用了什么资源。   3、有一个选项,可以让你选择快速扫描,或是其它方式,一般我们无需去设置,直接默认就可以了。 软件截图
检测捆绑木马及后门de方法
顶峰科技的专栏
01-01 2702
直接进入主题,这些方法是我常用的方法。也是我个人的经验,本人技术有限哪里说得不好请大家见谅。(以下为本人纯手工打,有的为借鉴) 1.手动查找软件捆绑 我这里拿cmd.exeudp.exe做测试来检测一下捆绑文件的基本释放路径。 我们把我们的准捆绑文件(这里我是捆绑.exe)直接运行,找到C:\Documents and Settings\Administrator\Local Settin
Bugku 分析 特殊后门(wireshark流量包分析
zazazrt的博客
02-21 2897
我们根据题目提示可以看到提示我们flag可能在这几个协议中我们打开wireshark分析下 虽然我是直接一开始就搜的icmp.... 我们在往下看, 是不是看的有点眼熟接下来我们顺着一个一个看,便可以得到flag{Icmp_backdoor_can_transfer-some_infomation} 当你检视其他协议的时候你会发现包很正常arp的包也是正常的包。 其实...
查看后门文件
weixin_30435261的博客
10-08 264
linux系统find . -name "*.jsp" | xargs egrep -liw "createNewFile| File\(| File " *.jspwindows系统findstr /S /M /D:e:\T6_lucene /C:"createNewFile" /C:" File " /C:" File(" *.jsp 转载于:https://www.cnblogs.com/w...
ENV文件下载
07-05
山寨平板env文件。希望无触摸屏急用的自己下载,都是网上绝版的,
kernel-devel-3.10.0-693.el7.x86_64.rpm
07-18
Intel的NEV安装过程中缺少的kernel-devel-3.10.0-693.el7.x86_64.rpm, kernel文件的安装
中国汽车业报告:还没到底!-2019.7-63.rar
09-11
其次,报告可能会重点讨论新能源汽车(NEV)的发展,这是近年来中国汽车行业的重要增长点。政府对新能源汽车的政策支持、技术进步、消费者接受度等因素都可能被提及。此外,报告可能还会分析市场竞争格局,包括本土...
瑞信-亚太地区-投资策略-中国工业:价值链提升-2019.10.18-74页.pdf
04-08
报告着重分析了新能源汽车(NEV)产业链及其对现有工业价值链的影响,以及特定公司(如HongfaSanhua)如何通过提供高附加值产品进入NEV供应链,实现其在全球市场上的领先地位。报告通过对产业趋势、公司市场占有率...
基于Matlab的NEV文件尖峰分类器_Matlab-based spike sorter for NEV files.
最新发布
09-22
对于研究者而言,Matlab的NEV文件尖峰分类器不仅加快了数据分析的速度,而且提高了结果的准确性可靠性。研究人员可以更加专注于数据的解读科学问题的探索,而不必花费大量时间进行繁琐的数据处理。 在科学出版...
exe文件,后门免杀的制作学习笔记
我的学习笔记
02-28 3397
引用原文!!注:本文技术非原创,转载请直接对原文转载,请不要对本文打赏等,本文为学习笔记,禁止由本文产生任何盈利行为。需要(Framework),一般Windows环境都有,C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exemsfvenom -p windows/meterpreter/revers...
EXE文件修改后门
05-05
EXE文件加后门源码批处理
给自己的软件添加后门
01-07
C#.NET给自己的软件添加后门
简单后门样本
12-25
简单的后门样本,供分析练习使用
cerebus采集的NEV格式数据matlab读取函数openNEV说明
weixin_44877380的博客
12-26 1803
nev文件阅读,在nev结构中包含所有文件信息。使用规范文件2.12.22.33.0进行工作。 使用输出= openNEV(fname,“noread”,“reports”,“noparse”,“nowarning”, “nosavy”、“nomaty”、“tau”、“overwriting”、“directy”)。 注意:所有输入参数都是可选的。输入参数可以是任意顺序。 fname:要打开的文件名。如果省略了fname,将提示用户使用打开文件用户界面选择一个文件。 默认:将打开“打开文件”界面 ‘n
学安全的同学都有必要了解的安全产品,雷池社区版(WAF)
huangyunling的博客
10-14 632
网络应用防火墙(WAF,Web Application Firewall)已成为保障网站应用安全的核心技术之一。 雷池社区版作为国内自主研发的一款优秀开源WAF,凭借其高效、易用强大的防护能力,
移动应用安全遗漏:组织内使用的移动应用未被纳入防火墙策略
Karka_的博客
03-15 750
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 7387
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
RuntimeError: Dataset '/home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/neu-det.yaml' error ❌ /home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/neu-det.yaml 'train:' key missing ❌. 'train' and 'val' are required in all data YAMLs.
09-14
<think> 根据用户的描述,错误信息明确指出在neu-det.yaml文件中缺少&#39;train&#39;键,而数据YAML文件必须包含&#39;train&#39;&#39;val&#39;键。同时,参考引用[4]中提到YAML文件的格式要求(冒号后需有空格),这可能是一个常见的格式错误。 解决方案步骤: 1. 检查YAML文件路径是否正确,确保文件存在。 2. 打开neu-det.yaml文件,检查是否包含&#39;train&#39;&#39;val&#39;键,并确保它们的格式正确(冒号后加空格)。 3. 确认&#39;train&#39;&#39;val&#39;指定的路径是否正确,路径可以是相对路径(相对于YAML文件)或绝对路径。 4. 如果使用相对路径,确保路径结构正确;如果使用绝对路径,确保路径存在。 根据引用[3]中的代码示例,训练时通过`model.train(data="data.yaml")`指定数据文件,因此需要确保YAML文件内容正确。 具体操作: - 使用文本编辑器打开`/home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/neu-det.yaml`文件。 - 检查内容,确保有类似以下的结构(注意冒号后的空格): ```yaml path: /path/to/dataset # 数据集根目录 train: train/images # 训练集图像路径,相对于path val: valid/images # 验证集图像路径,相对于path nc: 6 # 类别数 names: [&#39;class1&#39;, &#39;class2&#39;, ...] # 类别名称 ``` - 如果缺少&#39;train&#39;或&#39;val&#39;,补充完整即可。 如果问题仍然存在,可以尝试以下方法: - 使用绝对路径指定训练集验证集路径(确保路径正确)。 - 检查YAML文件是否被其他程序占用或损坏。 相关问题: 1. YAML文件在YOLOv8训练中的作用是什么? 2. 如何正确配置YOLOv8的数据集YAML文件? 3. 处理RuntimeError时,如何排查YAML文件格式错误? </think> ### 解决RuntimeError: Dataset YAML文件缺少&#39;train&#39;键的方法 根据错误提示引用内容,该问题根本原因是**数据集配置文件格式错误**。YOLOv8要求YAML文件必须包含`train``val`两个必要键,以下是完整解决方案: #### 第一步:检查YAML文件基本语法 1. **冒号后必须加空格** 错误示例:`train:images` 正确示例:`train: images`(冒号后必须有空格)[^4] 2. **确认键名拼写正确** ```yaml path: /home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/ # 数据集根目录 train: images/train # 训练集路径(相对于path) val: images/val # 验证集路径(相对于path) nc: 6 # 类别数 names: [&#39;crack&#39;,&#39;inclusion&#39;,&#39;pitted_surface&#39;,...] # 类别名称 ``` #### 第二步:验证文件路径(针对NEU-DET数据集) 1. **检查路径是否存在** 终端执行: ```bash ls /home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/images/train ``` 如果返回文件列表,说明路径正确;若为空,需调整路径 2. **推荐使用绝对路径**(避免相对路径歧义)[^1] ```yaml train: /home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/images/train val: /home/ubuntu/fyl/ultralytics-main/data/NEV-DETvoc/images/val ``` #### 第三步:完整示例(NEU-DET数据集) ```yaml # neu-det.yaml path: /home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc train: images/train # 训练集目录 val: images/val # 验证集目录 test: images/test # 可选测试集 # 金属表面缺陷类别(NEU-DET标准) nc: 6 names: [&#39;crack&#39;, &#39;inclusion&#39;, &#39;pitted_surface&#39;, &#39;scratches&#39;, &#39;rolled_scale&#39;, &#39;patches&#39;] ``` #### 第四步:验证YAML格式 使用YAML校验工具检查语法: ```python import yaml with open("neu-det.yaml", "r") as f: try: data = yaml.safe_load(f) print("YAML语法正确!") assert &#39;train&#39; in data, "缺少train键" assert &#39;val&#39; in data, "缺少val键" except Exception as e: print(f"格式错误:{str(e)}") ``` #### 第五步:训练代码调整 ```python from ultralytics import YOLO model = YOLO("yolov8n.pt") # 加载预训练模型 model.train( data="/home/ubuntu/fyl/ultralytics-main/data/NEU-DETvoc/neu-det.yaml", # 使用绝对路径 epochs=100, imgsz=640 ) ``` > **关键提醒**:NEU-DET数据集目录结构应为: > ``` > /NEU-DETvoc/ > ├── images/ > │ ├── train/ # 存放训练图片 > │ ├── val/ # 存放验证图片 > │ └── test/ > └── labels/ # 对应标注文件 > ├── train/ > ├── val/ > └── test/ > ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值